Расследование: Пока все были заняты папкой «Пенсия», команда BitOK выявила схему отмывания более 5200 BTC (свыше 10 млрд руб)

По запросу сторонних организаций аналитики BitOK провели независимое расследование по делу о получении взятки экс-начальником следственного отдела по Тверскому району Москвы, Маратом Тамбиевым. В ходе расследования была выявлена схема отмывания криптовалюты, стоимость которой в 5 раз превышает сумму взятки, полученной экс-следователем.

Отголоски давней истории

Наше расследование началось с анализа двух адресов, на которых, в соответствии с постановлением об аресте, находилась криптовалюта, полученная Маратом Тамбиевым в качестве взятки (bc1qha6tazesy5yp7quqzahy8pe7cn7cjj0hmtm2dt и bc1qqlqhu85am9ldqsavlw79kd2faq0xw2kr7h5g2g).

Рис.1 Визуализация процесса отмывания доходов на общую сумму более 5212 BTC (смотреть в высоком разрешении)

После тщательного изучения движения активов арестованного экс-следователя, (Рис.1), мы обнаружили интересный факт. Подобная схема отмывания криптовалюты уже использовалась ранее, 22 января 2022 года. Это совпадает с днем, когда в СМИ начала появляться информация об аресте группы хакеров The Infraud Organization.

Более того, мы обнаружили, что в схеме от 22 января 2022 года был задействован один из адресов (35XSkk6h5f1z9YLnGxJczAYdjbkJ9Rw3YN), который впоследствии участвовал в цепочке транзакций по отправке средств на адреса, принадлежащие экс-следователю.

Аналитика движения криптовалютных средств

Итак, всё началось 22 января 2022 года, когда средства в размере 654 BTC были направлены на кошелек с рут адресом bc1quf7heezk0chpc2qek7867a8l6umf0avuzayrt7.

Первоначальным отправителем всех средств выступали два сервиса: LuxSocks.ru и Unicc, контролируемые Infraud Organization. Затем часть этих средств была перенаправлена на адреса, принадлежащие Huobi (Рис.2).

Рис.2 Процесс отправки средств на адрес, принадлежащий Huobi

На схеме выше видно, что была применена техника отмывания, известная как Peel Сhain, т.е. средства были разделены на несколько адресов прежде, чем они были отправлены на платформу Huobi (1L15W6b9vkxV81xW5HDtmMBycrdiettHEL).

Peel Chain представляет из себя цепочку транзакций, созданную при многократном выводе средств из кошелька. Это одна из распространенных схем отмывания средств с биткоин-кошельков. При ней остатки средств от одной транзакции используются для финансирования следующей транзакции. Соответственно, адрес, получающий “сдачу”, повторяет схему. Таким образом образуется цепочка транзакций, где в каждой из них минимум два адреса: адрес получателя (out/ peel) и адрес сдачи (in/chain).

Необходимо пояснить, что сдача представляет собой неиспользуемую часть транзакции, оставшуюся после отправки средств.

“As an additional firewall, a new key pair should be used for each transaction to keep them from being linked to a common owner” — цитата про сдачу из Bitcoin Whitepaper.

На рисунке ниже показано, как работает простая схема Peel Chain. Представим, что какое-то физическое лицо хочет внести 10 BTC на биржу А, сделав транзакцию более сложной для отслеживания. С адреса, на котором хранятся 10 BTC, он переводит 1 BTC на кошелек биржи, а оставшиеся 9 BTC возвращаются ему назад в виде сдачи на новый адрес (этот новый адрес находится на том же кошельке). Затем это физическое лицо снова отправляет 1 BTC на кошелек, а оставшиеся 8 BTC возвращаются на новый адрес сдачи. И так далее.

Один из наиболее явных индикаторов наличия сдачи в транзакции — совпадение типа адреса сдачи с типом адреса отправителя. При этом, если типы всех адресов, участвующих в транзакции, одинаковые, то данный индикатор не должен учитываться. Существуют следующие виды BTC-адресов, по которым можно определять адрес сдачи: Legacy (P2PKH); Script (P2SH); SegWit (P2WPKH); Taproot (P2TR).

Другая часть средств в размере 2493,64 BTC, все также 22 января 2022 года, была переведена на кошелек с рут адресом bc1qxemflq8c02yf0q00xkjtgc5rcp9ahqdqpatqtk.

1 мая 2022 года все активы были выведены на 6 основных адресов (Рис.3). Один из этих адресов, по данным Chainalysis, принадлежит миксеру Wasabi. С этого момента, средства на данных адресах не двигались. Поразительно, что ни в СМИ, ни в других источниках не было никакой информации об этих транзакциях, хотя речь идет о более чем 2500 BTC.

Рис.3 Схема отправки средств на адреса, на которых хранятся средства на текущий момент

Оставшаяся часть средств с данных сервисов была агрегирована на адресе 34MJDmtAGesavCJoqSVg141mv9dQArtx2t. Стоит отметить, что данный адрес, совместно с последующими адресами сдачи (их связь прослеживается на Рис.3) принадлежат одному кошельку.

Наиболее интересными для исследования являются следующие адреса сдачи: 3K24pXcBVR2PEyGt55GHjugHxjVyMDhUiq, 3GL5VCscmw3Xqj4AkGHB1TK6pKBuZ5qAzg, 3AFM3nuHJwVqPw4SuAKKwttiSs6byM1DKm.

Именно с данных адресов 7 марта 2022 года были отправлены средства на два арестованных адреса Марата Тамбиева (bc1qqlqhu85am9ldqsavlw79kd2faq0xw2kr7h5g2g и bc1qha6tazesy5yp7quqzahy8pe7cn7cjj0hmtm2dt).

17 ноября 2022 года все средства были перемещены на адрес bc1qer54w4up6ymeeh7z48a34yahnd9v9lj20r8lgq. На момент расследования, средства в полном объеме продолжали находиться на этом адресе.

В свою очередь, на кошельки, принадлежащие следователю, была отправлена только половина из общих средств (1032 BTC из 2064 BTC) с агрегированного адреса 34MJDmtAGesavCJoqSVg141mv9dQArtx2t. Другая часть средств, в размере 1032 BTC, была направлена на адрес сдачи 3Bcg83dPQpEYKmiyTyUbj4LjvuKkHMfkN7.

Оставшиеся средства пришли в движение только 6 декабря 2022 года. Именно с этого момента запустилась схема отмывания средств:

7 декабря 2022 года 500 BTC были перемещены на адрес bc1q8f0esaptj8p7v8mwy2kp5nc7s2a7hf4pumnmg6;
С 7 по 10 декабря 2022 года тремя транзакциями по 100 BTC средства были направлены на три рут адреса:
- bc1q505xhtmz6a29n7q9ty0wtqgaawqzzvfr7c79lj;
- bc1qhrxw9hdsh6230m4n3flhh2cdq95x35yhrl9fex;
- bc1q2zkkzrkl0uw4huslgrmp4ep68zu0ggzyxv54rg.
Затем, с помощью уже знакомой нам схемы Peel Сhain, криптовалюта была отправлена на платформу Huobi.
10 декабря 2022 оставшиеся 200 BTC были направлены двумя транзакциями на два адреса (bc1qa65nczq0cgskd9tnyzsnkwq4sw9l0ry79933t4 и bc1qw7jjz5zf5t3jpud5e02xgutdvu08sywk83v2e0). Там они оставались без движения до 17 марта 2023 года.
Далее средства в полном объеме были направлены на два адреса:
- bc1qy3xytk5y9dad693nppvd786n262nfrtk0ayzvc (предположительно, принадлежит WhiteBit, так как более 90% прямого оборота адреса составляют транзакции с данной платформой),
- 1Gb4DWDkGnCExFNSYxwwRWhVGhdZAkdRCW — адрес платформы BitexBit (по данным Crystal Blockchain Analytics).
На момент настоящего расследования, часть средств (532 BTC) продолжала находиться на адресах, которые, по имеющимся данным, не принадлежат ни одному конкретному сервису:
- 3DkP4fatTdUxB9dkw2QR1scGt4FvVnMCGJ,
- 12TL7gnkCkN3Jif9eAy2tbJSVnDrdeaEjH,
- 1jY8zXpe27Nn3cyTGqQGcroDGvy3wNEZC,
- 16p1X15aTwQi89ddhXmyREgqbgZRijZHW5,
- 1PvZ8yMJurbTjhvtj2xNXWUGJruLnL6Huu,
- bc1q20v7p3sf2wzu3qg8wms0za8xteg8dmx0p53jac,
- bc1q65mp0avmz92g0zntrvsgsejfp43hwd0gcdus86,
- bc1q84c7cnck8hjg8ea0wlt2z3yvq6nmcqhqf7t2eg.
При этом за последние месяцы мы видим усиленную активность по ранее спящим адресам. Мы полагаем, что в ближайшее время и эти адреса придут в движение.

Аналитика алгоритмов и схемы отмывания криптовалюты

Как мы выяснили ранее, финальным звеном процесса отмывания средств являлись крупные криптовалютные биржи. Для этого было необходимо успешно пройти внутренние комплаенс процедуры данных бирж.

Так, перед массовой отправкой криптовактивов на платформу Huobi, 7 декабря 2022 года была осуществлена тестовая транзакция cad96270efbb3e6d79b6204ddd5289a1bf49716738abe18859e56cc12b32d297 в размере 0,09 BTC (Рис.4). Предположительно, это было сделано именно в целях тестирования работы системы мониторинга транзакций и комплаенса биржи Huobi.

Рис.4 Схема осуществления тестовой транзакции

Далее, c 10 по 12 декабря, с применением схемы Peel Chain, с разных адресов на платформу Huobi были отправлены средства в размере 300 BTC (Рис.5).

Рис.5 Применение схемы Peel Chain при отмывании средств через Huobi

Как уже упоминалось ранее, тип адреса сдачи должен совпадать с типом адреса отправителя. И поскольку в данной транзакционной цепочке адреса имеют одинаковый тип (bc1q, P2WPKH), при том, что второй адрес в транзакции имеет другой тип адреса (Script,P2SH), мы можем сделать вывод, что все они принадлежали одному кошельку и одному владельцу (Рис.6).

Рис.6 Схема Peel Chain

Кроме того, тип у всех адресов прослойки между исследуемым кошельком и финальным адресом на бирже, также совпадает (Script, P2SH). Это косвенно может указывать на то, что данные адреса являются постоянными адресами для депозитов на Huobi, и у злоумышленников было несколько учетных записей на данной платформе.

Однако, в расследовании также встречались транзакции, которые осуществлялись напрямую на адрес Huobi (без использования адресов прослойки типа P2SH), поэтому данный вывод можно подвергнуть сомнению (Рис.7).

Рис.7 Транзакции, осуществленные напрямую, на адрес Huobi

Дальнейшее отмывание криптовалюты предположительно происходило через платформы Whitebit и BitexBit.

В марте-апреле 2023 года с адреса bc1qzcjwuns75heuzra4m9dmp45p5t9mpmdg8pddj8 средства (100 BTC) были перемещены на адреса bc1qj44ya8y89x83lr7c2g5p2vjg7envl6ewys7jl9 и bc1qkk0gdac43czpwmcvgg8jq9cwh24kflcsdfkcwa (идентифицированные Chainalysis как адреса, принадлежащие Whitebit) (Рис.8).

Рис.8 Схема отправки средств на WhiteBit

По схожей схеме средства в размере 15,32 BTC были направлены на адрес 1Gb4DWDkGnCExFNSYxwwRWhVGhdZAkdRCW (по данным Crystal Blockchain Analytics адрес принадлежит Bitexbit) (Рис.9).

Рис.9 Схема отправки средств на BitexBit

Также с адресов bc1qrc94mrmml0732lcsg6k23546ash4v47jqwfuj5 и bc1q6s55yl3t584mv92thfku9fucp0v6gsvgx3sckl (адреса сдачи для кошелька с рут адресом 3Bcg83dPQpEYKmiyTyUbj4LjvuKkHMfkN7) было сделано две транзакции по 215,65 BTC каждая.

Некоторая часть средств на текущих момент не достигла бирж и находится на отдельных адресах, которые участвуют в описываемой схеме (Рис.10). Однако большая часть средств была отправлена на Bitexbit (87,21 BTC, рут адрес 1Gb4DWDkGnCExFNSYxwwRWhVGhdZAkdRCW) и на Whitebit (22,62 BTC, рут адрес bc1qy3xytk5y9dad693nppvd786n262nfrtk0ayzvc).

Рис.10 Расположение нетронутых средств

Мы видим прямую связь между схемой отмывания денег от 22 января 2022 года и новой схемой от 6 декабря 2022 года. Схемы отмывания идентичны, а также в новой схеме использовалась часть средств, оставшихся при реализации первой схемы. Так, часть неиспользованных средств из первоначальной схемы была отмыта вместе с деньгами из новой в июне 2023 года через платформу Whitebit (Рис.11).

Рис.11 Схема отправки средств на Whitebit

Выводы

Итак, после анализа адресов, принадлежащих экс-следователю Марату Тамбиеву, и их связей, была обнаружена широкая схема отмывания криптовалют с использованием уязвимостей комплаенс процедур некоторых криптобирж. Злоумышленники активно использовали техники отмывания средств, в том числе Peel Сhain, чтобы запутать сервисы по блокчейн аналитике и скрыть происхождение средств.

В результате, активы были направлены на различные криптовалютные платформы:

500 BTC были отправлены на адрес Huobi (1L15W6b9vkxV81xW5HDtmMBycrdiettHEL);
259,14 BTC были отправлены на адреса Whitebit:
- bc1qkk0gdac43czpwmcvgg8jq9cwh24kflcsdfkcwa;
- bc1qj44ya8y89x83lr7c2g5p2vjg7envl6ewys7jl9;
- bc1qy3xytk5y9dad693nppvd786n262nfrtk0ayzvc;
- и др.;
295,13 BTC были отправлены на адреса BitexBit: 1Gb4DWDkGnCExFNSYxwwRWhVGhdZAkdRCW и др.;
1032,09 BTC были отправлены на адрес bc1qer54w4up6ymeeh7z48a34yahnd9v9lj20r8lgq (после ареста средств на кошельках следователя Марата Тамбиева);
532 BTC остаются без движения на адресах, которые не принадлежат каким-либо сервисам:
- 3DkP4fatTdUxB9dkw2QR1scGt4FvVnMCGJ;
- 12TL7gnkCkN3Jif9eAy2tbJSVnDrdeaEjH;
- 1jY8zXpe27Nn3cyTGqQGcroDGvy3wNEZC;
- 16p1X15aTwQi89ddhXmyREgqbgZRijZHW5;
- 1PvZ8yMJurbTjhvtj2xNXWUGJruLnL6Huu;
- bc1q20v7p3sf2wzu3qg8wms0za8xteg8dmx0p53jac;
- bc1q65mp0avmz92g0zntrvsgsejfp43hwd0gcdus86;
- bc1q84c7cnck8hjg8ea0wlt2z3yvq6nmcqhqf7t2eg;
2493,64 BTC были отправлена на 6 адресов, один из которых идентифицирован Chainalysis как адрес, принадлежащий миксеру Wasabi;
100 BTC были направлены на кошелёк 1QANT5Aw6zpL7vhtLG5sTRKGe5yd6znQpw, который предположительно принадлежит Fraud организации (более 90 % оборота составляют транзакции с различными Fraud организациями).

Подчеркнем еще раз, что похожая схема отмывания с аналогичными финальными адресами уже использовалась в начале 2022 года. Успех первоначальной схемы отмывания криптовалюты через платформу Huobi мог сподвигнуть злоумышленников повторить ее в конце года.

Такой результат мог быть вызван недочетами комплаенс-процедур ранее упомянутых платформ, а также сложностью схемы обхода сервисов мониторинга, которую использовали злоумышленники. Однако поскольку в новой схеме были задействованы платформы Whitebit и BitexBit, можно предположить, что Huobi все же предприняла меры и изменила свои комплаенс-процедуры для пресечения подобных схем отмывания средств.

Мы полагаем, что оставшиеся средства продолжат свое перемещение. Поэтому важно проводить их мониторинг, чтобы не допустить дальнейшего отмывания цифровых активов. Команда BitOK продолжит мониторить данный кейс и улучшать системы мониторинга с целью наиболее эффективного отслеживания как схем по типу Peel Chain, так и иных.